Swagger接口泄露(脱敏获取密码)
概述:访问/env接口时,springactuator会将一些带有敏感关键词(如password、secret)的属性名对应的属性值用*号替换达到脱敏的效果利用条件:可正常GET请求目标/heapdump或/actuator/heapdump接口利用方法:步骤找到想要获取的属性名GET请求目标网站的/env或/actuator/env接口,搜索******关键词,找到想要获取的被星号*遮掩的属性值对应的属性名。
步骤下载jvmheap信息下载的heapdump文件大小通常在50M—500M之间,有时候也可能会大于2Gurl:http://xx.xx.xx.xx:8088/actuator/heapdumpGET请求目标的/heapdump或/actuator/heapdump接口,下载应用实时的JVM堆信息步骤使用heapdump_tool工具脱敏
文章为作者独立观点,不代表 股票程序化软件自动交易接口观点